none
Event Viewer RRS feed

  • Pergunta

  • Bom dia.

    Alguem sabe me informar um site pa fazer veficação sobre os entos do ISA?

    Gotaria de saber oq seria isso?

    id:15105
    categoria: Packet filter



    ISA Server detected an all port scan attack from Internet Protocol (IP) address 192.x.x.x.


    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    quarta-feira, 20 de maio de 2009 11:48

Respostas

  • Descobri oq que era.....

    Liberei o protocolo 8080 do proxy da rede internal para local host aí começou o problema... depois que retirei parou as mensagens de invasão!!

    Agora so n entendi pq resultou nisso....

    valeu galera.
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    • Marcado como Resposta David182 quarta-feira, 27 de maio de 2009 17:50
    quarta-feira, 27 de maio de 2009 17:49

Todas as Respostas

  • Bom dia David,

    Eu conheço este aqui: http://technet.microsoft.com/en-us/library/cc750793.aspx

    Espero que ajude.
    Alvaro J. P. Pereira (Analista de TI)
    quarta-feira, 20 de maio de 2009 11:55
  • Como faço para resolver isso?
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    quarta-feira, 20 de maio de 2009 12:04
  • Bom dia David,

    Boa pergunta a sua.
    Eu não possuo um vasto conhecimento de ISA Server (pois só tenho 6 meses que estou utilizando ele), mas ele está te informando que o IP tal está fazendo uma varedura nas portas do seu firewall a fim de saber quais portas estão abertas. Creio que você já saiba quais as portas que você tem e quais são os software que utilizam estas portas. Sugiro que você verifique junto aos seus distribuidores de software as atualizações para evitar invasões.
    Aconcelho também que você verifique se todas as portas que estão abertas são as portas que realmente necessitam ficar abertas para a produtividade da sua empresa.

    Caso alguém tenha mais informações para adicionar a esta discução eu agradeceria também.

    Espero ter ajudado.
    Um abraço.
    Alvaro J. P. Pereira (Analista de TI)
    quarta-feira, 20 de maio de 2009 12:55
  • Todas as portas são bloqueadas....

    a questão é... como a maquina ta fazendo esse Scan, se é virus algum software. sei lá.

    qro descobrir oq é!!! são duas maquinas e antes n tinha esse problema.

    Ta um saco....
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    quarta-feira, 20 de maio de 2009 13:47
  • David,

    Normalmente virus faz isso...

    Ja tentou verificar?

    abraços


    Luiz Fernando Dias - MVP
    quarta-feira, 20 de maio de 2009 17:45
    Moderador
  • Viz uma varredura com a Office Scan nao achou nada....

    Vou tentar com nod32.
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    quarta-feira, 20 de maio de 2009 19:49
  • ISA Server 2006: Event 15105

    Event Message

    ISA Server detected an all port scan attack from Internet Protocol (IP) address <IP address>.

    Explanation

    If intrusion detection is enabled for port scan attacks, this event is generated when requests are sent to more than the configured number of ports in the range from 1 through 65535 on a protected computer. This event indicates that a possible all port scan attack was attempted from the source IP address against the targeted computer to detect the services running on the computer.

    User Action

    1. If logging for dropped packets is enabled, you can view details of this attack in the Firewall log in the ISA Server log viewer. You can use this log to monitor any further intruder activity. To do this, in the ISA Server Management console tree, click the Monitoring node, and in the details pane, click the Logging tab. Then on the Tasks tab, click Edit Filter, and configure the log filter to display the relevant details.
    2. Take additional steps against intruder activity. For example, you may want to add access rules denying traffic from the source of the intrusion. To do this, in the ISA Server Management console tree, click the Firewall Policy node, and on the Tasks tab, click Create Access Rule.

    Luiz Fernando Dias - MVP
    quarta-feira, 20 de maio de 2009 20:12
    Moderador
  • Obrigado.....

    Amanha posto o resultado.
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    quarta-feira, 20 de maio de 2009 20:43
  • bele no aguardo...

    abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 20 de maio de 2009 20:47
    Moderador
  • Não obtive sucesso referente as varreduras que fiz......

    Estou verificando oq é.
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    quinta-feira, 21 de maio de 2009 20:46
  • E sobr eo post posteriror sobre o evento?chegou a testar?
    Luiz Fernando Dias - MVP
    sexta-feira, 22 de maio de 2009 04:28
    Moderador
  • Verifiquei no log do Isa esse ip esta varrendo todas as portas..... To mexendo nela ainda n descobri e nao achei nada de diferente.
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    sexta-feira, 22 de maio de 2009 13:30
  • Vc tem usuaruio que se conecta via VPN?

    da uma ping -a e veja se consgeue o nome desse IP.
    Luiz Fernando Dias - MVP
    segunda-feira, 25 de maio de 2009 03:36
    Moderador
  • VPN não..... Descobri ja os nomes das maquinas.

    Revirei as duas maquinas n encontrei nada.

    O Problema pode ser no ISa?

    Fiz um restore dele aki vou ver no q vai dar....

    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    segunda-feira, 25 de maio de 2009 12:14
  • Descobri oq que era.....

    Liberei o protocolo 8080 do proxy da rede internal para local host aí começou o problema... depois que retirei parou as mensagens de invasão!!

    Agora so n entendi pq resultou nisso....

    valeu galera.
    David Dellacenta http://www.andersonpatricio.org http://www.itcentral.com.br
    • Marcado como Resposta David182 quarta-feira, 27 de maio de 2009 17:50
    quarta-feira, 27 de maio de 2009 17:49